Come adeguare il proprio business al nuovo

Regolamento Europeo sulla Protezione dei Dati

Personali
di Beatrice Borello

Questa Guida si propone di aiutare le imprese e le organizzazioni italiane ad adeguarsi

al nuovo Regolamento Europeo 2016/679 sulla Protezione dei Dati Personali, adottato
in via definitiva dal Consiglio dellUnione Europea in data 14 aprile 2016 (qui di
seguito, il Regolamento). Ladeguamento, che dovr essere completato entro il 2018,
pu in alcuni casi risultare difficile e laborioso.
1.

Introduzione: il Regolamento applicabile alla mia attivit?

Per rispondere indispensabile chiedersi:

A. La nostra attivit implica il trattamento di dati personali?
-

Trattamento dei dati personali: qualunque attivit (automatizzata o meno) che

comporti la raccolta, la registrazione, lorganizzazione, la strutturazione, la
conservazione, ladattamento o la modifica, lestrazione, la consultazione, luso,
la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di
messa a disposizione, il raffronto o linterconnessione, la limitazione, la
cancellazione o la distruzione (Art. 4 Regolamento).

Es. 1 Se state creando una mailing list dei membri della vostra organizzazione
(riportando per esempio il loro nome, la loro et, la mail e loccupazione), state trattando
i loro dati personali.
Es. 2 Se raccogliete i dati di traffico di coloro che visitano il vostro sito web (per esempio
tramite lutilizzo di web cookies), in modo da poter proporre agli utenti una pubblicit
personalizzata, state trattando i loro dati personali.
Es. 3 Se avete chiesto ai vostri clienti di darvi il loro nome, cognome, numero di telefono
o indirizzo per potergli consegnare una carta fedelt, state trattando i loro dati personali.
Vi sono molteplici tipologie di trattamento (es. trattamento in ambito sanitario,
trattamento negli studi professionali, trattamento per finalit scientifica, statistica o
storica), che sono associate a diversi livelli di tutela.
dunque consigliabile avere ben presente quale tipologia di trattamento la vostra
attivit sta effettuando, per essere certi di applicare il giusto livello di tutela della
privacy.
Es. 1 Se avete chiesto ad un cliente di condividere con voi informazioni riguardanti la sua
vita privata e le sue azioni per poterlo assistere in sede giudiziale, state trattando i suoi
dati nel contesto di uno studio professionale.

Es. 2 Se avete chiesto ad un paziente di parlarvi del suo storico a livello sanitario, ed
avete prescritto ed effettuato analisi e/o interventi, state trattando i suoi dati in ambito
sanitario.
-

Dati personali: sono tutte le informazioni riguardanti una persona fisica

identificabile (Art. 4 Regolamento), che si qualifica come interessato del
trattamento.

Il Regolamento, nel definire la nozione di dato personale, fa alcuni esempi (nome,

identificativo online, ubicazione), ma lascia ampie possibilit di espansione. Questo
significa che, nel chiedervi se la vostra attivit comporta il trattamento di dati
personali, dovrete tenere ben presente che anche informazioni non indicate nel testo
del Regolamento possono essere qualificate come tali.
Nei dati personali sono inclusi (in particolare):
- i dati sensibili, ossia quelli che rivelano le convinzioni religiose, politiche e
sindacali;
- i dati supersensibili, ossia quelli che riguardano la vita sessuale e lo stato di
salute;
- i dati semi-sensibili, ossia quei dati che non sono propriamente sensibili, ma il
cui trattamento pu arrecare danno allinteressato (es. informazioni sulla
situazione finanziaria di un individuo);
- i dati giudiziari.

Allelaborazione dei dati degli interessati che si trovano nellUE si applica il

Regolamento quando:
- il titolare/responsabile del trattamento stabilito sul territorio dellUnione, a
prescindere dal luogo in cui il trattamento materialmente effettuato;
- il titolare/responsabile del trattamento non stabilito sul territorio dellUnione,
ma:
offre beni e servizi (anche gratuiti) nellUnione;
monitora il comportamento degli interessati allinterno dellUnione;
stabilito in un luogo soggetto al diritto di uno Stato membro in virt
del diritto internazionale pubblico.
Allelaborazione dei dati di interessati non residenti nellUE il Regolamento si
applicher solo se il titolare/responsabile del trattamento ha uno stabilimento sul territorio
dellEU o se effettua materialmente il trattamento nel territorio dellUnione.
Questo cosa significa?
- Che prima dellentrata in vigore del Regolamento le aziende e gli organismi
non stabiliti sul territorio dellUnione (ossia che non avevano una succursale
o una sede situata in uno Stato membro dellUnione) dovevano applicare le
norme europee sulla tutela dei dati personali solo se processavano fisicamente i
dati in Europa
- Che dopo lentrata in vigore del Regolamento il campo di applicazione della
tutela garantita dallUnione Europea si ingrandito enormemente,
includendo anche tutte quelle societ che, pur non essendo stabilite sul suo
2

territorio, monitorano il comportamento o offrono beni e servizi agli interessati

che vi risiedono.

B. Svolgiamo unattivit che potrebbe qualificarci come soggetto cui il regolamento

applicabile, ossia come titolare, responsabile o incaricato del trattamento di dati
personali, o come rappresentante del titolare/responsabile?
-

Titolare del trattamento la persona fisica o giuridica che determina le finalit e

i mezzi del trattamento di dati personali.

Es. 1 Se la vostra azienda/organizzazione commissiona ad una societ informatica la

creazione di un sito web, sul quale si utilizzano cookies e si richiede linserimento della
mail dellutente per permettere il pieno accesso ai servizi, non sar la societ informatica
a figurare come titolare del trattamento, poich si limitata a creare il MEZZO, secondo
le specifiche da voi forni tele. Siete voi ad offrire il servizio ed a stabilirne le modalit di
fruizione, quindi sar possibile classificarvi come titolare del trattamento di dati
personali.
Es. 2 Viceversa, se la vostra una web company, chiamata a creare un sito web per
unaltra societ o per unorganizzazione, non sar possibile qualificarvi come del
trattamento. Tuttavia, nel processo di creazione del sito, sar la vostra societ a stabilire
gli effettivi mezzi del trattamento, e questo potrebbe farvi rientrare nella categoria
dei responsabili (con possibilit, per il vostro committente, di scaricarvi parte delle
responsabilit).
Attenzione! Anche se la vostra azienda/organizzazione non pu essere ritenuta, stando al
testo del Regolamento, titolare del trattamento, gli Stati membri (e le stesse istituzioni
europee) possono introdurre norme e requisiti aggiuntivi, qualificandola come tale.
Inoltre, gli organi giurisdizionali (nazionali e comunitari) possono anche considerarla tale
de facto. quindi essenziale valutare se, nello svolgimento della vostra attivit, si
determinano le finalit o i mezzi del trattamento dei dati, per capire se si sta
EFFETTIVAMENTE svolgendo unattivit che compete al titolare del trattamento.

Strategia da adottare se la societ/organizzazione Titolare del trattamento:

Per avere il pi ampio spazio di manovra nella gestione dei dati personali del cui
trattamento la societ/organizzazione titolare (pur rimanendo entro i margini delineati
dal nuovo Regolamento), indispensabile:
- mettere in chiaro quali siano le finalit del trattamento (es. pubblicit, redazione
di statistiche);
- per quanto riguarda i mezzi e gli strumenti da utilizzare, pi prudente non
specificare troppo (anche perch normalmente sono determinati dal responsabile),
poich questi dovranno solo essere adeguati e proporzionati rispetto alle finalit
del trattamento;
- fare attenzione alla garanzia della privacy by default (vedi paragrafo 2) e by
design (vedi paragrafo 2);
- ricordare che ad essere titolare del trattamento la persona giuridica e NON il suo
legale rappresentante/amministratore unico.

Responsabile del trattamento la persona fisica o giuridica, lautorit pubblica,

il servizio o qualsiasi altro organismo che tratta dati personali per conto del
titolare del trattamento (Art. 4 Regolamento).

Viene nominato tramite un contratto di mandato, che dovr essere sottoscritto per
accettazione (il soggetto nominato deve accettare la nomina perch questa sia efficace).
La nomina normalmente a tempo indeterminato ed a titolo oneroso. Quindi, se non
intendete pagare il responsabile, dovrete specificarlo per iscritto nellatto. Potrete
revocarlo o sostituirlo in qualunque momento e senza preavviso, a vostro insindacabile
giudizio!
In che cosa il responsabile del trattamento si distingue dal titolare? Il titolare deve
richiedere espressa autorizzazione allinteressato per procedere al trattamento dei dati,
laddove il responsabile non chieder tale consenso. Questo perch il responsabile lavora
su incarico, e si considera che il consenso sia gi stato prestato. Ovviamente, il
responsabile dovr attenersi ai limiti ed alle condizioni imposte al titolare, almeno se
vuole evitare di incorrere in responsabilit individuali.
Attenzione! Il testo del Regolamento stabilisce che: il responsabile del trattamento
risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi che il
Regolamento ha specificatamente diretto ai responsabili del trattamento o ha agito in
modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Dunque, anche se in generale il responsabile del trattamento condivide gli obblighi
del titolare (deve offrire le stesse garanzie di sicurezza, dato che esercita un effettivo
controllo sulla circolazione dei dati), allo stesso tempo non deve stabilire le finalit
ed i mezzi del trattamento, poich lavora su commissione del titolare. Questultimo
per lascia spesso decidere al responsabile quali mezzi usare, il che rende in potenza
possibile considerarlo a sua volta titolare.

Strategia da adottare se lazienda Responsabile del trattamento:

per essere sicuri di non essere considerati effettivi titolari del trattamento dei dati, a
scapito di quanto stabilito dal contratto, necessario:
- munirsi di un sistema informatico in grado di garantire una efficiente tutela dei
dati trattati (il modo pi efficace di farlo chiedere ad uno specialista);
fare attenzione alle modalit di redazione del contratto. Questo dovr
OBBLIGATORIAMENTE contenere:
- la MATERIA dellaccordo;
- la DURATA del trattamento;
- la NATURA e le FINALIT del trattamento (questo elemento di particolare
importanza,
perch se le finalit del trattamento non sono chiare, il
responsabile potrebbe figurare come titolare!);
- il TIPO di dati trattati e le caratteristiche degli INTERESSATI (la disciplina
del trattamento infatti diversa a seconda sia del tipo di dato che della sua
provenienza, che sempre meglio verificare prima di effettuare operazioni);
Es. il Regolamento vieta di rivelare lorigine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, lappartenenza sindacale, le preferenze sessuali,
cos come i dati genetici o biometrici, a meno che non si abbia il consenso
dellinteressato, il trattamento non sia necessario per adempiere a degli obblighi legali o
contrattuali, oppure sia necessario per tutelare un interesse vitale dellinteressato.
- gli OBBLIGHI ed i DIRITTI del responsabile (inserire questa clausola
fondamentale per chiarire quali obblighi rimangono in capo al titolare, senza
trasferirsi al responsabile. Per quanto riguarda i diritti, questi includono per
esempio quello allaccesso ed alla cancellazione dei dati);
- lOBBLIGO DI RISERVATEZZA per tutti i soggetti che si occupano del
trattamento (tutela sia per il titolare che per il responsabile).

Attenzione! Anche se la legge dellUnione o dello Stato membro di riferimento non

qualifica lazienda come titolare o responsabile, questa potr essere considerata
tale qualora venga dimostrato che ha avuto una effettiva influenza sul trattamento
dei dati e/o ne ha determinato lestensione (es. Google Spain stato considerato
responsabile del trattamento dei dati personali effettuato dal motore di ricerca nonostante
questo sia operato dalla societ madre californiana, poich tale sede ha una effettiva
influenza su quella parte del business che ha a che fare con il trattamento di dati).
Il fatto stesso che qualcuno determini le modalit del trattamento dei dati personali
pu far scattare la qualifica di titolare/responsabile del trattamento, anche al di
fuori di una relazione contrattuale o se esplicitamente esclusa dal contratto (es: il
datore di lavoro sar sempre responsabile per il trattamento dei dati dei suoi dipendenti,
indipendentemente dal contratto di impiego sottoscritto!).
-

Incaricato del trattamento la persona fisica autorizzata a compiere operazioni

di trattamento dal titolare o dal responsabile (es. sono incaricati tutti i dipendenti
il cui lavoro implica il trattamento dei dati).

Deve essere nominato con una lettera di designazione, tramite cui il titolare/responsabile
gli attribuisce delle specifiche mansioni. La lettera non ha natura contrattuale, e basta
che sia controfirmata dal soggetto designato per presa visione o conoscenza.
Attenzione! Deve essere chiaro, dal contenuto della lettera, a quali categorie di dati
lincaricato avr accesso. La nomina OBBLIGATORIA: difatti, dato che autorizza
formalmente i dipendenti al trattamento dei dati, in sua assenza questi ultimi si
devono considerare come terzi soggetti, a cui lazienda/organizzazione trasmette dei
dati personali senza lautorizzazione dellinteressato (la qual cosa un illecito, e pu
comportare linsorgere di reclami e/o sanzioni).
Strategia da adottare:
il modo pi semplice di specificare le categorie di dati cui gli incaricati del trattamento
hanno accesso creare un vero e proprio mansionario, applicabile a tutti i soggetti che
lavorano sui dati raccolti dallazienda.

Rappresentante del responsabile stabilito in un Paese extra-UE la persona

fisica o giuridica stabilita nell'Unione che, designata per iscritto dal titolare o dal
responsabile del trattamento, lo rappresenta per quanto riguarda la tutela dei dati
personali. Deve essere nominato dal titolare/responsabile che non abbia uno
stabilimento nel territorio dellUnione.

Attenzione! Questo soggetto in principio un semplice referente dellazienda

centrale (che non ha stabilimenti sul territorio europeo), e non condivide le
responsabilit del titolare/responsabile. Tuttavia accaduto che un
rappresentante venisse considerato effettivo titolare del trattamento (es. la sede
spagnola di Google, ufficialmente mero rappresentante nazionale della compagnia, stata
considerata responsabile del trattamento di dati personali effettuato nel contesto del
motore di ricerca).
Strategia da adottare se lazienda rientra in questa categoria:
- assicurarsi che laccordo con il titolare/responsabile sia chiaro, e non lasci dubbi
sul fatto che in caso di azioni legali la responsabilit non ricadr sul rappresentante. In
realt, ad oggi, molto difficile riuscire a svincolarsi da ogni tipo di responsabilit
rispetto al trattamento di dati personali, quindi se si ha necessit di trattarli
opportuno assicurarsi della liceit delle attivit di trattamento dei dati;
- in questottica, consigliabile mettere in piedi uno sportello daccesso che renda il
pi semplice possibile elaborare le richieste presentate dai titolari dei dati o dalle
Autorit Garanti, allo scopo di evitare azioni legali dovute alla mancanza di risposta nei
termini previsti dal regolamento (Paragrafo 2, lettera C della presente Guida).

2. Come garantire ladozione della privacy cosiddetta by default e by design?

La privacy by default implica la necessit, per le aziende/organizzazioni di garantire che:
- procederanno al trattamento dei dati personali di un interessato solo quando
questo necessario per le finalit specifiche per cui i dati sono stati raccolti;
- i dati saranno raccolti e conservati nella quantit minima, indispensabile al
raggiungimento delle finalit di cui sopra;
- i dati saranno comunque conservati solo per il periodo necessario a fornire il
prodotto o il servizio per cui il trattamento stato autorizzato.
Quello della privacy by design un concetto pi specifico ed operativo, che prevede
linclusione della tutela della privacy gi a partire dalla progettazione del sistema che
dovr supportare il trattamento dei dati.
Es. unazienda che prevede la progressiva (ed automatica) anonimizzazione dei dati
registrati a sistema dopo il decorrere di un determinato lasso di tempo sta applicando la
privacy by design, perch ha creato una piattaforma in grado di garantire il proporzionale
diritto allanonimato dellinteressato.
Verifiche preliminari:
A. La mia azienda in linea con i principi della privacy by default?
Prima di affrontare largomento della privacy by design, ben pi complesso e specifico,
importante capire se lazienda/organizzazione conforme ai principi della privacy by
default, che costituisce il livello minimo di tutela dellinteressato.
7

Questo comporta: dare la garanzia che i dati affidati allazienda/organizzazione

vengano processati solo per scopi leciti, ed entro le finalit per le quali il loro
trattamento stato autorizzato o necessario.
Es. un utente si iscrive ad un social network. Nel momento in cui si iscrive, gli vengono
richiesti nome ed indirizzo mail. Per, una volta ultimata liscrizione, il social pubblica
anche la sua et e la sua posizione. Un simile comportamento un chiaro violazione del
principio della privacy by default, perch il responsabile pubblica pi informazioni di
quanto strettamente indispensabile per fornire il servizio.
Attenzione! Il principio della privacy by default vigente gi da diversi anni ( il
principio base della Direttiva 95/46/EC, sulla tutela dei dati personali), quindi la vostra
azienda/organizzazione dovrebbe gi essersi conformata!
B. La mia attivit in linea con i principi base della privacy by design?
Molto pi difficile assicurare ladeguamento in questo secondo caso. Infatti, non solo i
principi base della privacy by design sono stati introdotti dal Regolamento (e sono quindi
relativamente nuovi), ma il loro rispetto richiede che i sistemi informatici utilizzati da
tutte le aziende/organizzazioni che processano dati personali vengano rivoluzionati
(operazione piuttosto complessa).
Attenzione! La privacy by design (a differenza di quella by default) richiede che
lazienda PROVI di aver adottato tutte le misure indispensabili per garantire la
tutela della privacy dellinteressato.
Per assicurarsi di averli adottati sufficiente verificare:
- che si messo in piedi un sistema coerente di misure di sicurezza contro le
violazioni dei dati personali;
(es. sistemi crittografici);
- che i sistemi informativi ed i programmi informatici sono configurati per ridurre al
minimo lutilizzo dei dati personali;
- che non si sia verificato il rischio di function creep, ossia un utilizzo improprio dei
dati, che va oltre le finalit originarie del trattamento;
- che i dati sono conservati sui server solo quando e per il tempo strettamente
necessario (questo cosa significa? Che una volta esauriti o raggiunti gli scopi per cui il
dato stato raccolto, questo dovr essere rimosso, senza possibilit di backup!);
- che linteressato sia sempre stato informato di ogni variazione/operazione
effettuata; (daltra parte il cliente/titolare dovr sempre, in linea di principio,
autorizzare ogni operazione che vada al di l dello scopo per cui i dati sono stati
inizialmente trattati);
- che vi siano state delle verifiche periodiche per verificare il rispetto nel tempo delle
finalit per cui il trattamento dei dati stato autorizzato;
- che vi sia stata progressiva anonimizzazione nel trattamento dei dati (es. aggiunta del
rumore statistico, randomizzazione; per definizioni e maggiori informazioni, vedi
parere sulle tecniche di anonimizzazione emesso dalla Commissione europea);
- che in ogni caso linteressato sia identificabile solo in caso di necessit.

C. La mia attivit consente allinteressato il pieno godimento dei suoi diritti?

Questi includono diritto di accesso, rettifica, opposizione e cancellazione. Il loro

godimento gratuito, a meno che le richieste presentate dallinteressato non siano
manifestamente infondate o eccessive (il titolare pu chiedere un contributo spese
ragionevole o rifiutarsi di provvedere, ma dovr dimostrare linfondatezza/eccessivit
della richiesta)!
- Accesso: per facilitare laccesso dellinteressato ai dati personali raccolti
dallazienda/organizzazione, aiutandolo anche a consultare i termini e le condizioni
del trattamento, lideale creare un sistema di archiviazione di facile utilizzo. In
questo modo si aiuteranno sia gli operatori dedicati che gli interessati a reperire i
dati con facilit ed efficienza. La richiesta di accesso pu avere ad oggetto tutte le
informazioni indicate ex. art. 14 e 15 e tutte le comunicazioni ex. art. 15-23 e 32 del
Regolamento (es. l'identit e i dati di contatto del titolare del trattamento, i dati di
contatto del responsabile della protezione dei dati, le finalit del trattamento cui
sono destinati i dati personali nonch la base giuridica del trattamento, le categorie
di dati personali, etc.);
- Rettifica: secondo quanto previsto dal Regolamento, i dati riportati dal titolare e
dal responsabile del trattamento devono essere sempre aggiornati. Questo vuol dire
che il sistema di archiviazione deve consentire la correzione di errori e
laggiornamento delle informazioni; anche in questo caso, il modo pi semplice
di accertarsi che sia fatto laggiornamento di creare un sistema di archiviazione
di facile accesso ed utilizzo;
- Opposizione: diritto garantito anche dalla Direttiva 95/46/EC, d allinteressato la
facolt di opporsi al trattamento/alla pubblicazione dei suoi dati personali qualora
ci possa arrecargli danno ovvero gli stessi siano stati illecitamente processati.
Anche in questo caso fondamentale mettere su un sistema di archiviazione che
renda semplice per linteressato verificare la presenza online di dati che si
desidera rimangano privati, ma questo ovviamente non basta: sar necessario che
tale sistema di archiviazione renda facile trattare le richieste, ed eventualmente
procedere alla cancellazione dei dati stessi;
- Cancellazione: introdotto dal Regolamento, d allinteressato la facolt di
richiedere la cancellazione dei propri dati personali anche in assenza di potenziale
danno, in ragione della loro irrilevanza.
Per garantire i diritti dellinteressato al meglio: essenziale rivolgersi ad uno
specialista nel settore informatico, facendogli ben presenti le esigenze di chiarezza
nellutilizzo e di facilit nellaccesso.
Particolare attenzione al diritto di ACCESSO, che il presupposto per lesercizio di
tutti gli altri: le informazioni richieste dallinteressato devono infatti essere fornite entro
1 MESE dalla richiesta (proroga fino a 2 mesi in caso di difficolt nelladempimento.
Linteressato deve essere informato della proroga entro 1 mese dalla richiesta, con
motivazione). Se il responsabile non adempie e non fornisce adeguate motivazioni,
linteressato pu proporre ricorso al Garante o procedere in via giurisdizionale.
In caso di dubbi sullidentit del richiedente, meglio non fornire le informazioni, ma
effettuare ulteriori controlli. questo perch fornire i dati personali di un soggetto ad un
terzo non autorizzato in assenza di una verifica dellidentit del richiedente, potrebbe
portare a sanzioni e/o cause legali!

Dopo le verifiche indispensabile:

A. Creare un Registro delle attivit di trattamento dei dati (Art. 30 Regolamento)
(qui di seguito, il Registro). Questo Registro stato reso obbligatorio dal
Regolamento, e serve per i casi in cui le autorit di controllo richiedano di accedere
al traffico dei dati processati dalla azienda/organizzazione. Allo stesso tempo, pu
essere molto utile per garantire lesercizio dei diritti dellinteressato, perch
lazienda/organizzazione potr pi facilmente risalire al tempo ed al modo in cui i
dati sono stati trattati.
Attenzione! Il Registro DEVE contenere certe informazioni, in assenza delle quali
una Corte potrebbe ritenere non adempiuti gli obblighi del titolare/responsabile/
incaricato del trattamento. nellinteresse dellazienda/organizzazione scriverle nel
modo pi completo possibile, per evitare sanzioni e/o cause!
Lobbligo di redazione del Registro NON vige in presenza di date condizioni:
quando lattivit di trattamento occasionale o non presenta rischi per i diritti e le
libert dellinteressato. Ma dato che il Regolamento non chiarisce quando tali
condizioni possono ritenersi esistenti, sempre prudente ed utile redigere il registro se
lazienda/organizzazione effettua un qualsiasi trattamento di dati personali.
Strategie da adottare:
a. assicurarsi che tutte le informazioni obbligatorie siano incluse. Queste
comprendono:
- nome e coordinate (indirizzo IP) del contatto del titolare/responsabile;
- finalit del trattamento;
- descrizione delle categorie di dati e di interessati; essenziale, perch il
Regolamento prevede diversi livelli di tutela a seconda della natura dei dati (es. i
dati sensibili non saranno tutelati tanto quanto i dati cd. super-sensibili, inerenti
per esempio alle informazioni sanitarie)
- descrizione delle categorie di destinatari cui le informazioni saranno trasmesse;
(altrettanto essenziale, perch se non si indicano qualunque trasferimento dei dati a
terzi sar illecito a meno di ottenere lesplicita autorizzazione dellinteressato)
- descrizione delle condizioni di trasferimento verso un paese extra-europeo o
unorganizzazione internazionale; (particolarmente importante, vista la recente
conclusione del nuovo accordo EU-USA sul tema)
- termini ultimi di cancellazione dei dati dai server del titolare;
- descrizione generale delle misure di sicurezza tecniche messe in piedi. Questo
aspetto pu essere tralasciato (o meglio, trattato superficialmente) nella redazione
del Registro se si ha lintenzione di assumere un responsabile del trattamento,
perch tali misure potranno (dovranno) essere indicate nel contratto di servizi
stipulato con questultimo.
Rispetto agli ultimi 2 punti: il Regolamento in realt non impone tassativamente
di includere queste due informazioni: dice di farlo se possibile.
b. se si nominato un responsabile/rappresentante, il Registro deve contenere:
- nome e coordinate di contatto del responsabile/rappresentante;
- categorie di trattamenti che gli sono commissionate;
- descrizione delle condizioni di trasferimento verso un paese extra-europeo o

10

unorganizzazione internazionale; (particolarmente importante, vista la recente

conclusione del nuovo accordo EU-USA sul tema)
- descrizione generale delle misure di sicurezza tecniche messe in piedi.
Anche in questo caso, riguardo allultimo punto il regolamento impone di
includerlo se possibile.

Attenzione! Gli obblighi previsti riguardo al Registro NON vigono per le

aziende/organizzazioni con MENO di 250 dipendenti, A MENO CHE:
- il trattamento che esse effettuano possa presentare un rischio per i diritti e le
libert dell'interessato;
- il trattamento non sia occasionale; o
- includa il trattamento di categorie particolari di dati di cui all'articolo 9,
paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui
all'articolo 10.
Per valutare la natura dei dati processati, essendo certi che il trattamento che si sta
effettuando sia privo di rischi per i diritti e le libert dellinteressato, importante
effettuare il cd. Privacy Impact Assessment (paragrafo 5).

B. Delineare il profilo del titolare dei dati trattati (da non confondere con il titolare
DEL TRATTAMENTO!). Questa operazione essenziale, e molto pi complessa di
quanto si potrebbe pensare.
Fondamentale perch nel processare i dati di un soggetto bisogna avere ben
chiaro chi la persona con cui si ha a che fare, per poter valutare:
- Quali sono i suoi interessi principali rispetto al trattamento dei suoi dati?
maggiorenne o un minore? Rifiuta completamente lidea del trasferimento
dei dati a terzi oppure disinteressato?
- Vi pu essere un interesse sociale alla diffusione dei suoi dati? Questo vale
principalmente per coloro che processano dati personali nel contesto
delleditoria. Infatti, in presenza di un interesse sociale alla conoscenza delle
informazioni riguardanti una data persona, questultima viene parzialmente
privata di alcuni suoi diritti)

C. Assicurarsi di minimizzare lacquisizione e lutilizzo di dati personali. Questo

non solo per garantire al titolare dei dati che lazienda responsabile processer solo
i dati che le sono stati esplicitamente forniti (tutelando i suoi diritti), ma anche per
evitare di incorrere in cause per aver trattato dei dati senza autorizzazione.
Esempi pratici di procedure volte a minimizzare la riconoscibilit del titolare del
dato sono previste dal regolamento stesso:
- lutilizzo di pserdonimi, che in genere permette di mantenere il riserbo
sullidentit del titolare dei dati;
- la cifratura dei dati, che limita laccessibilit di questi ultimi ai soggetti in
possesso della chiave di cifratura.
11

Queste pratiche rientrano nella cd. anonimizzazione dei dati personali.

D. Assicurarsi di aver ricevuto l'ESPLICITO CONSENSO del titolare dei

dati/interessato (da non confondersi col titolare del trattamento)
Il consenso viene definito come: qualsiasi manifestazione di volont libera, specifica,
informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali
che lo riguardano siano oggetto di trattamento (Art.4 Regolamento).
Rispetto alla definizione di consenso contenuta dalla Direttiva 95/46, si aggiunge che il
consenso deve essere inequivocabile. Questo vuol dire che non pu pi essere prestato
in forma passiva, bens solo tramite dichiarazione o azione positiva inequivocabile.
Ad oggi dunque dovrete essere in grado di PROVARE che linteressato ha prestato il
suo consenso.
Suggerimenti utili:
- Il Regolamento stabilisce che la richiesta di consenso debba essere formulata in
modo chiaro e semplice; quindi consigliabile creare un form che consenta una
facile comprensione da parte dellinteressato
- bisogna tener conto che, nel valutare se il consenso sia stato prestato liberamente, le
autorit terranno in considerazione l'eventualit, tra le altre, che l'esecuzione di un
contratto sia condizionata alla prestazione del consenso al trattamento di dati
personali non necessario all'esecuzione di tale contratto. Quindi, nel redigere il
predetto form, si dovr prestare particolare attenzione alle informazioni che si
richiedono, limitandosi a quelle strettamente necessarie allerogazione del servizio;
- attenzione! Linteressato un minore? Condizioni particolari per il consenso (Art. 8
Regolamento).

E. Introdurre un codice di condotta e dei meccanismi di certificazione: ladozione

di un codice di condotta NON imposta dal regolamento come obbligatoria, ma
caldamente consigliata (lArt. 38 che la prevede deve dunque classificarsi come
programmatico).
Per quanto riguarda il codice di condotta: redigerlo pu essere molto utile a livello
interno, perch pu aiutare i dipendenti a rimanere entro i limiti stabiliti dal
regolamento. Nella redazione, consigliabile attenersi ai consigli del legislatore
europeo, contenuti nellArt. 38 del Regolamento.
Particolare importanza dovrebbe essere data alla gestione dei contenziosi! Il
titolare/responsabile del trattamento dovrebbe prevedere lestensione del codice agli
incaricati ed ai rappresentanti.
Se avete intenzione di redigerlo, sappiate che dovrete chiedere un parere
allAutorit di controllo, che dovr approvarlo, e sottoporlo alla Commissione
Europea (paragrafo 6). Se lattivit esercitata in pi Stati membri, vi dovrete
rivolgere a ciascuna autorit nazionale.

12

Attenzione! Il Regolamento prevede che, una volta stilato il codice di condotta, il

titolare/responsabile nomini un soggetto, terzo (quindi esterno allazienda),
indipendente (deve dare prova di indipendenza allautorit garante!) e competente, che
vigili sul rispetto del codice. Questo soggetto dovr essere accreditato presso il
Garante, quindi dovrete attendere che questultimo presenti i criteri di accreditamento
al comitato europeo per la protezione dei dati (che dovr approvarli).
Per quanto riguarda i meccanismi di certificazione: importante prestare grande
attenzione ai meccanismi di certificazione della protezione dei dati che saranno
promossi dalle autorit statali ed europee, poich consentiranno di assicurare la propria
(generica) aderenza al Regolamento. La certificazione volontaria, e non riduce le
responsabilit dellazienda (che sia essa responsabile o incaricata del trattamento).
Il Processo di accreditamento stato stabilito, in Italia, in accordo con Federprivacy, e
sulla base della norma di accreditamento UNI CEI EN ISO/IEC 17024:2012, e si
realizza come segue:
Presentazione della candidatura, attraverso il modulo di richiesta
certificazione e dei documenti richiesti;
verifica del possesso dei requisiti di formazione e di esperienza professionale
richiesti;
svolgimento di un esame di certificazione, composto da prove scritte ed un
colloquio individuale sulle materie professionali;
rilascio della certificazione da parte del comitato di delibera.
Pu essere pi semplice e comodo conformarsi ai criteri stabiliti dal legislatore
utilizzando tali meccanismi di certificazione, che hanno il pregio di rassicurare il
cliente/titolare dei dati sulla sicurezza e liceit del trattamento effettuato dallazienda.
Attenzione! Lazienda dovr fornire tutte le informazioni necessarie allente
certificatore, quindi opportuno verificarne lattendibilit presso lautorit
garante! in realt sufficiente verificare che lente sia accreditato presso lautorit ed
il Comitato europeo (che pubblicher un registro apposito).
F. Tener presente che la disciplina varia a seconda della fonte dei dati: i dati
possono essere raccolti alternativamente presso linteressato dei dati personali o
un altro soggetto.
Per quanto riguarda linteressato (ossia il soggetto cui le informazioni/i dati sono
riferiti): nel momento in cui egli AUTORIZZA il trattamento dei dati dando il
proprio consenso, deve essergli data una serie di informazioni (tramite unapposita
INFORMATIVA):
- identit e coordinate di contatto del titolare (e delleventuale rappresentante/
incaricato);
- finalit del trattamento;
- se si ha lintenzione di trasferire i dati a terzi, indicazione del legittimo interesse
del titolare/responsabile e dei terzi in questione;
- destinatari dei dati (laddove necessario, quindi laddove si vogliano trasferire a
terzi);
13

eventuale intenzione di trasferire i dati ad un paese terzo;

periodo di conservazione (con criteri di utilizzazione);
chiarimenti sulla garanzia dei diritti di accesso, opposizione, rettifica e
cancellazione (oltre al diritto di reclamo presso lautorit);
- eventuale trattamento automatizzato dei dati (es. tramite profilazione).
Se lazienda avesse necessit di usare i dati raccolti per finalit diverse da quelle
concordate con linteressato, dovrebbe informarlo delle sue intenzioni per riceverne il
consenso.
Per quanto riguarda la raccolta di dati presso altri soggetti, questa implica
linsorgere della necessit di informare linteressato che si richiesta
lautorizzazione per utilizzare dati a lui riferibili. Allinteressato dovranno essere
comunicate:
- tutte le info sopracitate;
- le categorie dei dati personali in questione;
- la fonte da cui hanno origine i dati (e leventualit che tali fonti siano accessibili
al pubblico).
In entrambi i casi: le informazioni succitate devono essere fornite entro (al pi tardi) 1
MESE DALLOTTENIMENTO. Se sono destinati alla
comunicazione con linteressato possono essere fornite fino al
MOMENTO DELLA PRIMA COMUNICAZIONE; se sono
destinati ad altro destinatario, entro il MOMENTO DELLA
PRIMA DIVULGAZIONE.
Quando possibile sottrarsi a questobbligo?
possibile in 4 casi:
- linteressato dispone gi delle informazioni; ( pi prudente, in questo caso,
far firmare al cliente/interessato una dichiarazione in cui conferma di aver
fornito/aver acquisito tutte le info previste dal Regolamento)
- la comunicazione impossibile o troppo dispendiosa;
- lottenimento e/o divulgazione delle info previsto dal diritto dellUE o dello
Stato membro di appartenenza; (in questo caso sar lUE/ lo Stato a garantire
la tutela dei diritti dellinteressato)
- i dati devono rimanere riservati per segreto professionale o obbligo statutario
di segretezza.
G. Informarsi sulle conseguenze dellinadempimento: in linea di massima vi sar
inadempimento qualora vi sia data breach, ossia un accesso non autorizzato ai dati
conservati sui server del titolare/responsabile del trattamento, nonch qualora i dati
non siano stati trattati con le modalit previste.
Due sono le domande fondamentali da porsi qualora questo accadesse:
Cosa deve fare il titolare/responsabile
del trattamento?
Se accerta che il data breach mette a
rischio diritti e libert dellinteressato/
titolare deve presentare:

In quali sanzioni pu incorrere?

La violazione delle previsioni del
regolamento pu portare a sanzioni
amministrative pecuniarie di una certa
entit, sia in caso di data breach che in
caso di violazione attiva del Regolamento:
14

- Notifica al Garante: la violazione

deve essergli notificata senza
ingiustificato ritardo, ed ove
possibile, entro 72 ORE
dal
momento in cui il titolare/
responsabile ne venuto a
conoscenza. Se questi NON provvede
entro 72 ore necessaria una
giustificazione motivata. Gli stessi
principi valgono per lincaricato, che
deve informare il titolare/responsabile
senza ritardo.

- Fino a 10.000.000 (o fino al 2% del

fatturato mondiale totale annuo
dellesercizio
precedente,
SE
SUPERIORE) per la violazione delle
norme sugli obblighi del titolare del
trattamento e del responsabile del
trattamento (Articoli 8, 11, 25, 26, 27,
28, 29, 30, 31, 32, 33, 34, 35, 36, 37,
38, 39, 42 e 43), dell'organismo di
certificazione (Articoli 42 e 43) o
dell'organismo di controllo (Articolo
41, paragrafo 4);

Caratteristiche notifica: indicazione

della natura della violazione, del
numero e delle categorie di interessati
coinvolti, del nome e delle coordinate
di contatto del titolare/responsabile,
descrizione delle conseguenze della
violazione e delle misure di cui il
titolare/responsabile
auspica
ladozione (o che ha adottato) per
attenuarle. Ogni violazione deve essere
documentata
ed
accessibile
al
Garante!!
- Informativa alla persona fisica:
questa informativa deve contenere, in
FORMA CHIARA E SEMPLICE, le
stesse
informazioni
di
quella
presentata
al
Garante.
NON
RICHIESTA quando: il titolare/
responsabile pu provare di aver
utilizzato
misure
tecnicoorganizzative adeguate alla sicurezza;
ha SUCCESSIVAMENTE adottato
misure adatte a scongiurare rischi
elevati per i diritti e libert
dellinteressato; la comunicazione
richiederebbe sforzi sproporzionati.

- Fino a 20.000.000 (o fino al 4% del

fatturato mondiale totale annuo
dellesercizio
precedente,
SE
SUPERIORE) per violazione delle
norme riguardanti i principi base del
trattamento (Articoli 5, 6, 7 e 9), i diritti
degli interessati (Articoli da 12 a 22), i
trasferimenti di dati ad un paese
terzo/organizzazione
internazionale
(Articoli da 44 a 49), la mancata
osservanza
di
un
ordine/
provvedimento/limitazione prevista da
unautorit di controllo (Articolo 58), e
per la violazione delle norme previste
dai singoli Stati membri (capo IX).
Per le violazioni per cui non prevista
sanzione amministrativa pecuniaria
decidono gli Stati membri.

PER IL RIFERIMENTO NORMATIVO,

ART. 83 e 84 DEL REGOLAMENTO.

Particolarit: larticolo non prevede la

notifica entro 72 ore, ma solo senza
ritardo. Nel dubbio, meglio
notificare la violazione a Garante ed
interessato allo stesso tempo, per
evitare ripercussioni (o aspettare che
lAutorit ordini la notifica).

15

FONDAMENTALE
LA
VALUTAZIONE
DELLIMPATTO
SULLA PRIVACY!!

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di

fissare l'ammontare della stessa in ogni singolo caso le autorit dovranno tenere
debito conto di alcuni elementi:
- la natura, la gravit e la durata della violazione tenendo in considerazione la
natura, l'oggetto o a finalit del trattamento in questione nonch il numero di
interessati lesi dal danno e il livello del danno da essi subito;
- il carattere doloso o colposo della violazione;
- le misure adottate dal titolare del trattamento o dal responsabile del
trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilit del titolare del trattamento o del responsabile del
trattamento tenendo conto delle misure tecniche e organizzative da essi
messe in atto ai sensi degli Articoli 25 e 32;
- eventuali precedenti violazioni pertinenti commesse dal titolare del
trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l'autorit di controllo al fine di porre rimedio
alla violazione e attenuarne i possibili effetti negativi;
- le categorie di dati personali interessate dalla violazione;
- la maniera in cui l'autorit di controllo ha preso conoscenza della
violazione, in particolare se e in che misura il titolare del trattamento o il
responsabile del trattamento ha notificato la violazione;
- qualora siano stati precedentemente disposti provvedimenti di cui
all'Articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del
responsabile del trattamento in questione relativamente allo stesso oggetto,
il rispetto di tali provvedimenti;
- l'adesione ai codici di condotta approvati ai sensi dell'Articolo 40 o ai
meccanismi di certificazione approvati ai sensi dell'Articolo 42; e
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del
caso, ad esempio i benefici finanziari conseguiti o le perdite evitate,
direttamente o indirettamente, quale conseguenza della violazione.
Un altro elemento fondamentale:
-

Il trattamento dei dati dei dipendenti: si dovr prestare molta attenzione al

trattamento di questi dati, spesso sottovalutato ma foriero di numerosi problemi. Il
rispetto dei principi della privacy by design e by default fondamentale, e
comporta il trattamento dei soli dati indispensabili ad instaurare e mantenere il
rapporto di lavoro.

Anche in questo caso, il trattamento deve conseguire a:

- la prestazione del consenso dellinteressato; o
- la necessit per ladempimento di un obbligo contrattuale o legale:
- la necessit per la salvaguardia degli interessi vitali dellinteressato; o
- la necessit per lo svolgimento di un compito di interesse pubblico; o
16

espressione del legittimo interesse del titolare o del responsabile.

Curiosit: alcuni argomenti scottanti che riguardano la privacy sul posto di lavoro:
- social network: i dipendenti spesso utilizzano i social anche sul posto
di lavoro. C stato un lungo dibattito riguardante la possibilit per il datore
di lavoro di controllare laccesso a queste piattaforme, prendendo
provvedimenti disciplinari una volta verificato il diffuso utilizzo dei social
in orario dufficio. Ad oggi, se ci si vuole assicurare che i propri dipendenti
siano sanzionabili in tal senso senza venire accusati (spesso anche in sedi
giurisdizionali) di aver violato la loro privacy, necessario (e sicuramente
pi prudente) includere una specifica clausola contrattuale al momento
dellassunzione.
e-mail: capita spesso che la mail aziendale venga utilizzata per scopi
privati, talvolta illeciti. Allo stesso tempo, un problema per il datore
di lavoro accedere alla mail dei dipendenti senza venire tacciato di
invadere la loro privacy. Anche in questo caso prudente e necessario
introdurre una specifica clausola contrattuale, accompagnata in questo
caso da un mezzo di screening elettronico in grado di rintracciare ogni
attivit illecita svolta dagli account aziendali, permettendo
lidentificazione dellautore.

3.

Trasferimento di dati verso paesi terzi ed organizzazioni internazionali

Premessa n1:
- Che cosa significa trasferimento di dati: tale trasferimento si verifica quando
dei dati raccolti e/o conservati su server situati in uno Stato membro dellUE
sono trasferiti per essere conservati in server siti in un Paese extra-europeo. La
disciplina di questo tipo di operazione non determinata solo dal Regolamento in
oggetto, ma anche da accordi internazionali tra lUnione ed i singoli Paesi terzi
(es. Privacy Shield, accordo UE - USA).
Premessa n2:
- La portabilit del dato: (Art.20 Regolamento) il diritto alla portabilit dei dati
consiste nel diritto di ricevere i dati di cui si consentito il trattamento in
formato semplice e leggibile tramite dispositivi elettronici, e di chiederne il
trasferimento automatizzato da un titolare del trattamento ad un altro (laddove
tecnicamente possibile).
INTRODOTTO DAL REGOLAMENTO, questo diritto rimane in ogni caso
appannaggio dellinteressato (che pu esercitarlo fintanto che non vada a ledere diritti
o libert altrui), e non pregiudica lesercizio del diritto alla cancellazione/oblio (Art.
17 Regolamento).
Le operazioni di trasferimento dei dati verso Paesi terzi (estranei sia al rapporto
contrattuale che lega il titolare e linteressato del trattamento sia al sistema

17

giurisdizionale e garantistico europeo) hanno fatto nascere la necessit di una specifica

disciplina.
-

Quali sono gli obblighi del titolare/responsabile del trattamento?

Il trasferimento di dati personali pu avvenire solo in presenza di determinate

condizioni:
- Previa decisione di adeguatezza da parte della Commissione
europea; In questo caso non necessaria ALCUNA
AUTORIZZAZIONE (Art. 45 Regolamento).
Criteri usati dalla Commissione (in breve): lo stato di diritto, il
rispetto dei diritti umani fondamentali, la presenza di una
adeguata legislazione di settore e di norme sulla protezione dei
dati, lesistenza di regole professionali e di misure di sicurezza
specifiche (comprese quelle per il trasferimento); lesistenza e
funzionamento di unautorit per il controllo dei dati; gli
impegni internazionali del Paese/organizzazione e gli obblighi
derivanti da eventuali convenzioni/accordi.
Perch necessario conoscere i criteri adottati dalla Commissione?
- La Commissione pubblica sulla Gazzetta Ufficiale dellUnione lelenco dei
Paesi terzi e delle organizzazioni internazionali che considera garanti
adeguati dei diritti degli interessati: se il Paese/lorganizzazione non
incluso in tale lista, i criteri di valutazione saranno essenziali;
- Qualora non ci sia stata alcuna decisione di adeguatezza dovr essere il
titolare/responsabile a negoziare contrattualmente il rispetto di misure che
garantiscano un livello di protezione e sicurezza equivalente a quello
garantito dal diritto dellUnione.
- Offerta, da parte del titolare/responsabile del trattamento, di
garanzie adeguate, e a condizione che siano disponibili diritti
azionabili degli interessati e mezzi di ricorso effettivi.
In questo caso ci pu alternativamente essere bisogno che
lautorit di controllo emetta una specifica autorizzazione o
no.
Il Regolamento riporta un esempio di garanzie adeguate, che
rendono superflua lautorizzazione specifica di unautorit di
controllo.
Es. ladozione di un codice di condotta o di una forma di
certificazione coerenti con le previsioni del Regolamento (Art.
46 Regolamento).
Quando il trasferimento avviene in presenza di norme vincolanti dimpresa (ossia
norme interne vincolanti e riguardanti le modalit di trattamento dei dati), queste
devono comunque essere state approvate dallautorit garante (condizioni:
devono essere giuridicamente vincolanti per tutte le parti; devono conferire agli
interessati diritti azionabili; devono riportare una quantit minima di informazioni,

18

indicate ex. Art. 47 del Regolamento).

La Commissione pu adottare atti delegati (Art. 86 regolamento) per precisare i
requisiti delle norme vincolanti dimpresa, e pu specificare il formato e le procedure
per lo scambio di informazioni che avviene tra titolari, responsabili, incaricati ed
autorit di controllo.
Se queste garanzie non vengono fornite, lautorit/lo Stato membro deve emettere
unautorizzazione secondo i principi di coerenza. Questa rimane in vigore FINCH
NON VIENE ABROGATA, MODIFICATA O SOSTITUITA.
Deroghe: (Art. 49 Regolamento) il trasferimento ammesso, anche in assenza dei
requisiti richiesti dagli Art. 45, 46 e 47, se:
- linteressato ha esplicitamente acconsentito; (attenzione! Consenso
informato e per la prima volta ESPLICITO!!)
- il trasferimento necessario per lesecuzione di un contratto/di misure
precontrattuali stipulati tra linteressato ed il titolare del trattamento;
- il trasferimento necessario per la conclusione o lesecuzione di un contratto
stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a
favore dellinteressato;
- il trasferimento necessario per importanti motivi di interesse pubblico;
- il trasferimento necessario per accertare, esercitare o difendere un diritto in
sede giudiziaria;
- il trasferimento necessario per tutelare gli interessi vitali dell'interessato o di
altre persone, qualora l'interessato si trovi nell'incapacit fisica o giuridica di
dare il proprio consenso;
- il trasferimento effettuato a partire da un registro che, a norma del diritto
dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico;
(attenzione! Il trasferimento non pu riguardare la totalit dei dati
contenuti nel registro).
Attenzione! Dopo aver previsto un numero specifico e limitato di casi in cui il
trasferimento extra-europeo di dati personali ammesso, il Regolamento
stabilisce che il trasferimento verso un Paese terzo o un'organizzazione
internazionale ammesso anche IN ASSENZA DI TUTTI I SOPRACITATI
REQUISITI se:
- non ripetitivo;
- riguarda un numero limitato di interessati;
- necessario per il perseguimento degli interessi legittimi cogenti del
titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le
libert dell'interessato; e
- qualora il titolare e del trattamento abbia valutato tutte le circostanze
relative al trasferimento e sulla base di tale valutazione abbia fornito
garanzie adeguate relativamente alla protezione dei dati personali.
Il titolare del trattamento dovr informare l'autorit di controllo e l'interessato
del trasferimento e degli interessi legittimi cogenti perseguiti.

19

4.

La nomina del Data Protection Officer (DPO)

Il DPO (o Responsabile del trattamento dei dati personali) un soggetto incaricato

dallazienda, che ha il compito di vigilare sul rispetto delle norme del Regolamento e
sullattinenza ai codici di condotta stabiliti allinterno dellazienda/organizzazione. Ha
una moltitudine di compiti e responsabilit, tra cui spicca quello di rispondere alle
richieste degli interessati e delle autorit nel miglior modo possibile nel momento in cui
questi desiderino esercitare i propri diritti e le proprie facolt rispetto ai dati raccolti
dallazienda/organizzazione stessa..
Ci sono alcune domande a cui rispondere quando si parla di questa figura:
-

Quando le aziende/organizzazioni devono nominarlo, e quando no?

Deve essere nominato di default quando: (Art.37 Regolamento)

- il titolare del trattamento unautorit pubblica
o un organismo pubblico (eccetto quelli
giurisdizionali);
- le attivit principali dellazienda implicano il
trattamento sistematico e su larga scala dei
dati dellinteressato, richiedendo un controllo
continuativo da parte di questultimo;
- le attivit principali dellazienda implicano il
trattamento sistematico e su larga scala dei
dati dellinteressato, o meglio dei dati ex. Art. 9 o
10.
20

Designazione:
- i Gruppi di imprese possono nominarne uno solo, ma questi deve essere
raggiungibile da tutti gli stabilimenti.
Questo significa che un grande gruppo (come Google) che processa una enorme
quantit di dati in tutto il mondo, non potr de facto nominare un solo DPO,
poich questi sarebbe oberato di lavoro, e non potrebbe svolgere efficacemente il
suo lavoro. Per contro, un gruppo di medie o piccole imprese situate sullo stesso
territorio potrebbe risparmiare tempo e risorse nominando un DPO comune.
- le autorit/organismi pubblici possono nominarne uno solo, tenendo per sempre
conto della loro dimensione e della loro struttura organizzativa.
Quindi anche le autorit e gli organismi pubblici devono conformarsi al
regolamento, provvedendo alla nomina del DPO indipendentemente dal fatto che
il trattamento avvenga su larga scala o meno.
-

Quale posizione occupa allinterno dellazienda/organizzazione?

Lazienda/organizzazione dovr assicurarsi che il DPO sia:(Art. 38 Regolamento)

- coinvolto
tempestivamente
ed
adeguatamente in tutte le questioni
riguardanti il trattamento di dati personali;
- provvisto di tutte le risorse necessarie a
svolgere i suoi compiti e mantenere il suo
grado di preparazione specialistica;
- indipendente rispetto allesecuzione dei suoi
compiti (es. non pu essere rimosso per aver
adempiuto alle sue funzioni, e fa riferimento
diretto
al
vertice
gerarchico
del
titolare/responsabile).
Lazienda/organizzazione dovr anche pubblicare i dati di contatto del DPO e
comunicarli allautorit garante (Art. 37 Regolamento).
Quindi, una volta nominato, il DPO sar completamente indipendente, e far
esclusivo riferimento al vertice aziendale/dellorganizzazione (es. Amministratore
Delegato). Questa caratteristica impone di prestare enorme attenzione al momento
della nomina!
-

Quali le competenze e le funzioni?

Il DPO deve: (Art. 39 Regolamento)

- Assicurarsi che il titolare/responsabile sia a
conoscenza degli obblighi derivanti dal
Regolamento, e consigliarlo sulle azioni da
intraprendere in materia di protezione dei
dati. Tale compito di informazione e
21

consulenza esteso anche ai dipendenti che

si occupano di processare materialmente i
dati.
Quindi il suo incarico deve includere
lobbligo di presentare relazioni ed
informative periodiche e ravvicinate
allazienda
titolare/responsabile
del
trattamento;
Fare da tramite tra il titolare/responsabile del
trattamento e gli interessati dei dati trattati.
Gli interessati dovranno rivolgersi a lui
per esercitare i diritti connessi ai loro dati
personali, quindi egli dovr avere accesso
agli archivi ed ai registri tenuti
dallazienda per poter garantire una
immediata assistenza;
Questultima funzione (di tramite) si estende
anche ai rapporti con lautorit di controllo,
nel senso che il DPO dovr cooperare con
questultima non solo nello svolgimento di
eventuali indagini, ma per qualunque
questione connessa al trattamento di dati!
(es. consultazione preventiva ex Art. 36
Regolamento).
La qual cosa fondamentale se lazienda
ha
necessit
di
richiedere
una
consultazione preventiva;
Assicurare losservanza del Regolamento.
Questa clausola estremamente generica,
potenzialmente potrebbe includere tutte le
altre;
Fornire un parere sulla valutazione dimpatto
di un dato trattamento sulla protezione dei
dati, e sorvegliarne lo svolgimento (laddove
richiesto)
Questo per assicurare il rispetto delle
previsioni
del
Regolamento,
senza
necessariamente
ricorrere
alla
consultazione preventiva con lautorit
garante.

Come sceglierlo?

Secondo il Regolamento (Art.37), il DPO pu essere un membro del personale del

titolare/responsabile del trattamento o un consulente esterno (che lavora sulla base di un
contratto di servizi). Quel che certo che deve garantire di avere un certo livello di
competenza e professionalit. In questottica, pi conveniente optare per luno o per
laltro?
Per quanto riguarda il membro del personale questa ha un vantaggio fondamentale: il
dipendente conosce i meccanismi interni alla societ ed i dipendenti, quindi potr
22

consigliare lazienda con pi facilit (almeno per quanto riguarda la redazione del
codice di condotta, le valutazioni dimpatto e ladattamento generale del sistema alle
novit del Regolamento). Per contro, avr bisogno di un periodo di formazione molto
pi consistente rispetto ad un professionista esterno (che per offrirsi come responsabile
dovr per forza di cose essere in possesso delle competenze e della professionalit
richieste).
Per quanto riguarda invece il professionista esterno, questi sicuramente avr un livello
di professionalit superiore, ma per contro non avr conoscenza alcuna dellazienda e
dei meccanismi che ne regolano il funzionamento, quindi dovr o essere affiancato da
un dipendente (il quale dovr essere formato) o essere istruito su tali meccanismi. Potr
per garantire un pi alto livello di indipendenza (intesa come operativit non
influenzata da istruzioni ricevute dal responsabile del trattamento). Il rovescio della
medaglia che la sua fedelt allazienda molto meno pronunciata, quindi sar pi
complicato garantire il segreto e la riservatezza nello svolgimento delle sue funzioni.
Per la formazione: lUnione e gli Stati membri stanno creando dei veri e propri
meccanismi di certificazione, che permettano alle aziende di provare che il
proprio responsabile ha il giusto livello di competenza, indipendenza e
professionalit.
La certificazione avr valenza triennale (rinnovabile alle stesse condizioni se
permangono i requisiti), e potr essere rilasciata da:
- lautorit di controllo;
- lorganismo nazionale di accreditamento designato dal regolamento (CE)
n. 765/2008 del Parlamento europeo e del Consiglio;
- gli organismi di certificazione in possesso del livello adeguato di
competenze riguardo alla protezione dei dati.
Questi ultimi saranno accreditati solo se dimostrano in modo convincente
all'autorit di controllo competente di essere indipendenti e competenti
riguardo al contenuto della certificazione; si impegnano a rispettare i
criteri indicati dall Art. 42 del Regolamento; istituiscono procedure per il
rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei
marchi di protezione dei dati; istituiscono procedure e strutture atte a
gestire i reclami relativi a violazioni della certificazione o il modo in cui la
certificazione stata o attuata dal titolare del trattamento o dal
responsabile del trattamento e a rendere dette procedure e strutture
trasparenti per gli interessati e il pubblico; dimostrano in modo
convincente all'autorit di controllo competente che i compiti e le funzioni
da loro svolti non danno adito a conflitto di interessi.
Quindi, nello scegliere lente presso cui ottenere la certificazione di adeguatezza e
professionalit, si dovr fare molta attenzione al rispetto dei requisiti e dei criteri
stabiliti dalla lettera del Regolamento (Art.42).

23

5. Valutazione dimpatto sulla Protezione dei Dati (Privacy Impact Assessment)

-

Che cos? introdotta per la prima volta dal Regolamento, la valutazione (pi o
meno dettagliata a seconda delle richieste del legislatore) dei rischi e delle
conseguenze che il trattamento dei dati personali entro determinati parametri
potrebbe comportare.

ovvio che limpatto sulla protezione dei dati personali del trattamento effettuato dal
titolare/responsabile sar diverso in ogni caso di specie. Questo imporrebbe di
effettuare la valutazione ogni volta che lazienda desideri procedere a tale trattamento,
il che sarebbe molto costoso e difficile (nonch ripetitivo). Forse per questo che il
Regolamento ha previsto che trattamenti con conseguenze analoghe possano essere
valutati insieme (Art. 35 Regolamento). In questottica, ha anche elencato una serie di
casi in cui la valutazione richiesta e necessaria:
- Valutazione sistematica e globale di aspetti personali relativi a persone fisiche,
basata su un trattamento automatizzato di dati riguardanti la personalit di
persone fisiche da cui possano discendere decisioni con conseguenze
giuridiche capaci di incidere in modo significativo sugli interessati;
- Trattamento (SU LARGA SCALA) dei dati relativi a condanne penali o alle
origini razziali, le opinioni politiche o religiose, il sesso o lorientamento
sessuale (vedi art.9 del Regolamento);
- Sorveglianza sistematica di una zona accessibile al pubblico su larga scala.
Attenzione! Lautorit di controllo dovr redigere un elenco delle tipologie di
trattamento per cui la valutazione indispensabile (redigendone unaltra per cui
in linea di massima non richiesta), quindi fondamentale tenersi aggiornati su

24

questi sviluppi! importante farlo sia nella fase di avviamento che successivamente,
per non perdere eventuali novit.
- Quali sono gli elementi base della valutazione?
Secondo quanto previsto dal Regolamento stesso (Art. 35), il Privacy Impact
Assessment deve contenere ALMENO:
- una descrizione sistematica dei trattamenti previsti e delle finalit
del trattamento, compreso, se del caso, l'interesse legittimo
perseguito dal titolare del trattamento;
- una valutazione della necessit e proporzionalit dei trattamenti
in relazione alle finalit;
- una valutazione dei rischi per i diritti e le libert degli interessati;
e
- le misure previste per affrontare i rischi, includendo le garanzie,
le misure di sicurezza e i meccanismi per garantire la protezione
dei dati personali e dimostrare la conformit al presente
Regolamento, tenuto conto dei diritti e degli interessi legittimi
degli interessati e delle altre persone in questione.
Si deve poi tenere conto del rispetto del codice di condotta stabilito dallazienda,
chiedendo quando possibile agli interessati le loro opinioni sul trattamento in
questione.
- Quali aziende devono farlo obbligatoriamente?
Deve essere effettuata da qualunque azienda, ogni qualvolta questa si trovi nella
posizione di diventare titolare/responsabile di un trattamento di dati personali che
presenti un rischio elevato per i diritti e le libert dellinteressato persona fisica.
Attenzione! A differenza di quanto previsto per la nomina del Privacy Officer, lo
svolgimento della valutazione imposto a tutte le imprese/organizzazioni, fintanto
che svolgono la funzione di titolari/responsabili del trattamento.
- Come effettuarlo al meglio?
Effettuare la valutazione al meglio importante, non solo per conformarsi al
Regolamento, ma anche (e soprattutto) per assicurare un certo livello di coerenza ed
efficienza interne allazienda. Una efficace valutazione dellimpatto sulla riservatezza
permetter infatti di avere una maggiore consapevolezza del rapporto rischio/beneficio
insito in ciascuna operazione.
Strategia da adottare:
innanzitutto fondamentale verificare che la valutazione sia stata fatta nel rispetto del
contenuto minimo previsto ex Art.35.
poi importante rivalutare la coerenza e ladeguatezza della valutazione nel tempo (e
la sua corrispondenza alle effettive modalit di trattamento), per verificare che non
insorgano variazioni del rischio.
Attenzione! No valutazione (a meno che non sia esplicitamente previsto dallo
Stato membro di riferimento) per i trattamenti di dati imposti da un obbligo
legale del titolare/responsabile o dallinteresse pubblico (o dalla connessione con
lesercizio di pubblici poteri).

25

- Consultazione con lautorit di sorveglianza

Quando la valutazione dellimpatto sulla privacy conferma che il trattamento dei dati
presenta un alto rischio per i diritti e le libert dellinteressato, senza fornire le
necessarie misure di sicurezza organizzative e/o strutturali, il titolare/responsabile
consulta lAutorit di controllo in via preliminare (Art. 36 Regolamento).
Contenuto della richiesta di consultazione:
- responsabilit del titolare, dei contitolari e dei responsabili del trattamento,
dellincaricato e/o del rappresentante;
- finalit e mezzi del trattamento;
- misure e garanzie volte a proteggere i diritti dellinteressato;
- coordinate del contatto del titolare;
- valutazione dimpatto sulla privacy;
- ogni altra informazione richiesta di informazioni (attenzione! Clausola
aperta, tramite cui lautorit di controllo pu introdurre tutta una serie
di nuovi requisiti di contenuto!!).
Se lautorit ritiene che il trattamento non conforme ai dettami del
Regolamento, fornisce una consulenza scritta entro 8 SETTIMANE (possibile la
proroga fino a 6 SETTIMANE se il trattamento particolarmente complesso, il
responsabile deve esserne informato entro 1 MESE dalla richiesta di consultazione).
Tale termine pu essere sospeso fintanto che lautorit non ottenga dal
titolare/responsabile le informazioni richieste per la consultazione. Lautorit
pu in questo caso anche usare i poteri di sorveglianza e controllo conferitigli ex.
art 57-58 del Regolamento.
Curiosit: Nonostante quanto detto finora, il diritto degli Stati membri pu prescrivere
che i titolari del trattamento consultino l'autorit di controllo (per ottenerne
l'autorizzazione preliminare) in relazione al trattamento per l'esecuzione di un compito
di interesse pubblico (es. il trattamento con riguardo alla protezione sociale e alla sanit
pubblica).
Questo significa che, nonostante il Regolamento autorizzi il trattamento di dati
personali per lesecuzione di un compito di interesse pubblico e ritenga in principio
legittimo ed adeguatamente protetto, gli Stati membri possono prevedere che il titolare
debba richiedere la consultazione preventiva. Quindi necessario prestare attenzione
alle procedure adottate nello Stato membro di stabilimento, per evitare di
contravvenire ad eventuali procedure create ad hoc.

26

6.

Possibilit di ricorso giurisdizionale:

Procedere al trattamento dei dati personali degli utenti persone fisiche pu portare la
vostra azienda/organizzazione a dover far fronte ad un reclamo, che pu essere
presentato presso:
- le autorit giurisdizionali. Il ricorso a tali autorit sar dobbligo qualora
linteressato voglia chiedere il risarcimento del danno. In questo caso vigono le
norme procedurali dello Stato presso le cui autorit il caso stato presentato;
- lautorit garante della privacy dello Stato membro di residenza dellinteressato o nel
quale la violazione della privacy ha avuto luogo.
Per quanto riguarda le possibilit di presentare ricorso contro una decisione
dellautorit, si deve innanzitutto partire da un fondamentale presupposto: secondo il
Regolamento, qualsiasi persona fisica O GIURIDICA pu proporre ricorso
giurisdizionale contro una decisione vincolante dellautorit di controllo che la
riguarda.
Questo ricorso si pu proporre in due casi:
- lautorit ha preso una decisione
contestabile;
- lautorit non ha trattato il reclamo entro 3 MESI,
o non ha proceduto ad informare gli interessati
(con la stessa scadenza) dellesito del reclamo.
Per le persone giuridiche, a rilevare solo il primo caso (perch chiaramente non
saranno loro a presentare il reclamo riguardante la violazione delle norme sulla
privacy).

27

Ma cosa accade in pratica se una persona giuridica (es. unazienda che risulta
essere responsabile del trattamento dei dati di un soggetto) vuole proporre il
ricorso? Il Regolamento non entra nei particolari, limitandosi a dire che:
- il ricorso deve essere proposto presso le autorit giurisdizionali nazionali;
- lautorit di controllo deve trasmettere il parere/la decisione eventualmente
emessi dal Comitato europeo per la protezione dei dati.
Si pu quindi ragionevolmente supporre che i termini e le modalit di ricorso
siano quelli previsti dalle procedure dei singoli Stati membri.

28